ハマショー2

🚨 BREAKING: Hackers are now exploiting the cPanel authentication bypass flaw (CVE-2026-41940) to deploy "Sorry" ransomware on compromised websites. Numerous sources say attacks began Thursday, with threat actors breaching servers and deploying a Go-based Linux encryptor that appends the .sorry extension to files. What the ransomware does: 🔴 Encrypts files and appends the ".sorry" extension. 🔴 Protects the encryption key with an embedded RSA-2048 public key 🔴 Drops a README.md ransom note in every folder 🔴 Uses a fixed Tox ID for ransom negotiations Victims are being instructed to contact the attacker via Tox to pay for decryption. This is not related to the older 2018 HiddenTear ".sorry" ransomware. This is a new, Linux-targeting encryptor tied directly to active cPanel exploitation. If you're running cPanel or WHM, patch immediately.

RMM hunting is one of those areas where defenders get stuck because the answer is rarely “just block it.” On a day-to-day basis, from the intrusions we see, 𝗦𝗰𝗿𝗲𝗲𝗻𝗖𝗼𝗻𝗻𝗲𝗰𝘁, 𝗦𝗽𝗹𝗮𝘀𝗵𝘁𝗼𝗽, 𝗔𝗻𝘆𝗗𝗲𝘀𝗸, and 𝗥𝘂𝘀𝘁𝗗𝗲𝘀𝗸 are some of the most abused RMMs. All of these can be legitimate. All of these are also regularly abused. That makes them annoying to detect, especially if you work in an MSSP or an environment where remote admin tooling is everywhere. But there is a useful hunting angle here. ScreenConnect is still one of the most common by far. A pattern I’ve noticed recently is threat actors installing multiple ScreenConnect clients on the same host with different profile configurations, each connecting to different domains. That looks a lot like access staging or access resale. The interesting part is that this creates artifacts defenders can hunt for. 𝘐𝘯 𝘵𝘩𝘦 𝘧𝘪𝘳𝘴𝘵 𝘴𝘤𝘳𝘦𝘦𝘯𝘴𝘩𝘰𝘵, 𝘺𝘰𝘶 𝘤𝘢𝘯 𝘴𝘦𝘦 𝘩𝘰𝘸 𝘥𝘪𝘧𝘧𝘦𝘳𝘦𝘯𝘵 𝘚𝘤𝘳𝘦𝘦𝘯𝘊𝘰𝘯𝘯𝘦𝘤𝘵 𝘪𝘯𝘴𝘵𝘢𝘭𝘭𝘢𝘵𝘪𝘰𝘯 𝘱𝘳𝘰𝘧𝘪𝘭𝘦𝘴 𝘸𝘰𝘶𝘭𝘥 𝘭𝘰𝘰𝘬. 𝘐𝘯 𝘵𝘩𝘪𝘴 ��𝘢𝘴𝘦, 𝘵𝘩𝘦 𝘱𝘢𝘵𝘵𝘦𝘳𝘯 𝘪𝘴 𝘣𝘢𝘴𝘪𝘤𝘢𝘭𝘭𝘺 𝙎𝙘𝙧𝙚𝙚𝙣𝘾𝙤𝙣𝙣𝙚𝙘𝙩 𝘾𝙡𝙞𝙚𝙣𝙩 𝘧𝘰𝘭𝘭𝘰𝘸𝘦𝘥 𝘣𝘺 𝘢 𝘳𝘢𝘯𝘥𝘰𝘮 𝘶𝘯𝘪𝘲𝘶𝘦 16-𝘤𝘩𝘢𝘳𝘢𝘤𝘵𝘦𝘳 𝘢𝘭𝘱𝘩𝘢𝘯𝘶𝘮𝘦𝘳𝘪𝘤 𝘷𝘢𝘭𝘶𝘦. That is a very useful hunting signal. Red flags: - Multiple ScreenConnect profiles on one host - Multiple ScreenConnect installations - Installs under both 𝗖:\𝗣𝗿𝗼𝗴𝗿𝗮𝗺 𝗙𝗶𝗹𝗲𝘀*\ and 𝗔𝗽𝗽𝗗𝗮𝘁𝗮 - Different configured remote domains - Suspicious or unexpected 𝘀𝘆𝘀𝘁𝗲𝗺.𝗰𝗼𝗻𝗳𝗶𝗴 files The 𝘀𝘆𝘀𝘁𝗲𝗺.𝗰𝗼𝗻𝗳𝗶𝗴 file is especially useful. It exists inside the ScreenConnect installation directory and can expose the domain and certificate information used by the client to connect back to the remote server. This is the main point: Don’t hunt only for the presence of RMM, hunt for RMM drift. Unexpected profiles -> Unexpected paths -> Unexpected domains. Unexpected configs. That is where RMM abuse starts becoming visible.

🚨 CRITICAL: Active supply chain attack on axios -- one of npm's most depended-on packages. The latest [email protected] now pulls in [email protected], a package that did not exist before today. This is a live compromise. This is textbook supply chain installer malware. axios has 100M+ weekly downloads. Every npm install pulling the latest version is potentially compromised right now. Socket AI analysis confirms this is malware. plain-crypto-js is an obfuscated dropper/loader that: • Deobfuscates embedded payloads and operational strings at runtime • Dynamically loads fs, os, and execSync to evade static analysis • Executes decoded shell commands • Stages and copies payload files into OS temp and Windows ProgramData directories • Deletes and renames artifacts post-execution to destroy forensic evidence If you use axios, pin your version immediately and audit your lockfiles. Do not upgrade.

[論文] インシデント分析にLLMを活用する際、RAG（関連情報をLLMに補足する手法）による前処��の有無でどれほど性能差が出るかを、8つのLLM構成と実際のマルウェアトラフィックで体系的に比較した論文。MITRE ATT&CKに紐づけたクエリでSIEMログをフィルタリングし、RAGで関連ログをLLMのコンテキストに渡して「感染端末はどれか」「C2はどこか」といったインシデント調査の問いに自動回答させるシステムを評価しています。 RAGなしのベースラインでは、コンテキストウィンドウに収まるログが全体の数%にとどまり、被害ホストのIPやホスト名は拾えるものの、悪性ドメインやC2サーバーは全件検出に失敗したとの結果。 攻撃の痕跡がログの後半に集中しており、先頭から詰め込むだけでは届かないことが原因とされています。 今回の実験条件では、攻撃インフラの把握にはログの前処理と複数ソースの横断的な突合が必要だったとの結論。 【評価結果の要点】 ・Dartmouth College、Northeastern University、Punch Cyber Analyticsの研究グループがarXivで2026年3月18日に公開。malware-traffic-analysis[.]netの公開マルウェアPCAPデータ4種とActive Directory環境でのレッドチーム演習データを使用 ・Claude Sonnet 4とDeepSeek V3がマルウェアシナリオ4種すべてでリコール100%を達成。DeepSeek V3のコストは1分析あたり約$0.008で、Claude Sonnet 4（$0.12）の15分の1。運用規模（1日1,000分析）に換算すると月額$240対$3,600 ・セキュリティ特化モデルのCisco Foundation-Sec-8Bはリコール90%で、汎用モデルのLlama 3.1:70b（95%）を下回る。ドメイン特化のプレトレーニングよりも推論能力のほうがフォレンジック分析には効くとの結論 ・GPT-5.2はFake Authenticatorシナリオでリコール60%にとどまり、Windowsのマシンアカウント（DESKTOP-xxx$）とユーザーアカウントを混同する推論エラーがコンテキスト量を増やしても解消されないパターンが確認されている ・Active Directoryの多段攻撃（Metasploit→証明書テンプレート悪用→Kerberos横展開→PSExec）では精度100%・リコール82%を達成。ESC1証明書悪用の検出では、証明書発行ログのSubjectとSANの不一致を複数チャンクにまたがって認識し、特権昇格の経路として正しく再構築できている アーキテクチャ自体はCyberRAGやAgCyRAGなど先行研究と重なる部分が多く、RAG＋LLMでセキュリティログを分析するという枠組みに目新しさがあるわけではないですが、LLMプロバイダ間のコスト対性能比較や、RAGの有無で生じる性能差といった、SOC運用の意思決定に直結する定量データを体系的に示した点が本研究のポイント。 一方、LLMのバージョンアップは急速で、コンテキストウィンドウも���大しており、RAGなしベースラインの前提条件自体が今後変わっていく可能性があります。 RAGによる前処理がどの規模のログまで優位性を保つのかは、モデルの進化とあわせて継続的に検証が必要になりそうです。 https://t.co/ifbuLlIAY7